宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > Bitcoin > 正文

密码学原语如何应用?解析密码学承诺的妙用

作者:

时间:1900/1/1 0:00:00

在不泄露明文的前提下,如何对隐私数据的内容进行承诺?密码学承诺的密文形式和普通的数据密文有何区别?隐私数据如何在密码学承诺的形式下依旧保持可用性?在量子计算的安全模型下,是否依旧可以构造安全可用的密码学承诺?

隐私保护方案设计中,除了保护隐私数据的机密性,确保密文形式隐私数据解读的唯一性也是重要的业务需求。业务流程中,很大程度会依赖隐私数据的具体数值,如果允许攻击者在自身利益驱动下,对处于密文形式的隐私数据进行任意解读,势必会对业务的整体公正性和有效性带来巨大影响。

以电子支付为例,一家银行为一位客户开具了一张面额1000元的电子支票,电子支票以密文形式交付给客户,流转过程中不会轻易泄露金额。然而,在使用时,银行也不希望客户能够将这张电子支票解读成其他金额,如10000元。多兑现的9000元会造成银行的损失,银行甚至可能因此而停用整个密文电子支票业务。

这里的解读与解密有一定区别,对密文数据解读不一定需要对密文数据进行解密。在上面示例中,当客户花费这张面额1000元的电子支票,解读时只需要证明电子支票的消费额小于未花费余额即可,而不需要解密未花费余额的具体数值。

解决以上业务问题的关键,就在于密码学承诺的使用。密码学承诺有何神奇之处?且随本文一探究竟。

在日常生活中,承诺无处不在。例如,预约打车成功后,司机和乘客之间就互相做了一个承诺。到了预约时间,乘客等车,司机接客,这就是在兑现承诺。

林煌博士:轻模式的隐私应用是密码学技术在隐私保护实践中很重要的一步:在今日的《金色深核》线上直播中,针对“假设我们要解决多公司之间数据需要保密且共同使用的问题,三个技术路线如何去做?去年Maskbook火了一下,各位如何看待这种“轻模式”的隐私应用?”Suterusu林煌博士表示关于多个公司之间进行保密数据的安全计算,这个需要结合零知识证明和安全多方计算才能解决。如果我们考虑一种简单的情况,只有两方进行安全计算,一方可以将自己的数据用门限同态加密方案的公钥加密后传输给另一方,另一方依据加密自己的数据生成密文,然后在两个密文上做预定的同态运算,最后双方合作把完成同态操作的密文解密。零知识证明可用于保证这个过程的计算可靠性(computational integrity),比如如何保证生成的加密密文确实是按照正确加密步骤生成的密文且加秘方知道原始明文呢?我们可以使用零知识证明算法针对加密电路生成能够验证明文和密文之间符合加密电路逻辑的证明。轻模式的隐私应用毫无疑问是密码学技术在隐私保护实践中很重要的一步,但这个领域还有很多可以做的事情。[2020/3/11]

信息科学中也有类似的承诺技术存在。例如,某些网站在提供下载文件时,也会提供对应文件的单向哈希值(单向哈希算法相关内容可以参考第9论)。这里,单向哈希值便是一种对文件数据的承诺,以下称之为哈希承诺。基于下载的哈希承诺,用户可以对下载文件数据进行校验,检测接收到的文件数据是否有丢失或变化,如果校验通过,相当于网站兑现了关于文件数据完整性的承诺。

声音 | 现代密码学之父:密码学将有三大机会 分别是同态加密、区块链和公共密钥技术:据中国新闻网消息,现代密码学之父、图灵奖得主惠特菲尔德·迪菲表示,密码学将有三大机会。一是同态加密,也就是可以在云端进行加密,而这个云却不知道数据已加密;二是区块链,主要推动力就是比特币,比特币取得了巨大的成功,但它需要巨大的工作量;三是新的公共密钥技术。[2019/8/26]

密码学承诺是一类重要的密码学原语,其中哈希承诺又是诸多技术中最简单的一种实现方式。

一般而言,密码学承诺的应用涉及承诺方、验证方两个参与方,以及以下两个使用阶段。

第一阶段为承诺生成(Commit)阶段,承诺方选择一个敏感数据v,计算出对应的承诺c,然后将承诺c发送给验证方。通过承诺c,验证方确定承诺方对于还未解密的敏感数据v只能有唯一的解读方式,无法违约。

第二阶段为承诺披露(Reveal)阶段,学术界通常也称之为承诺打开-验证(Open-Verify)阶段。承诺方公布敏感数据v的明文和其他的相关参数,验证方重复承诺生成的计算过程,比较新生成的承诺与之前接收到的承诺c是否一致,一致则表示验证成功,否则失败。

声音 | 现代密码学之父:区块链在量子计算中并不十分脆弱:据新浪财经报道,“现代密码学之父”惠特菲尔德·迪菲(Whitfield Diffie)表示,20世纪70年代建立起来的公钥加密体系很容易受到量子计算的攻击。但密码学中有很多技术,例如大多数区块链都使用了公钥密码,同时也使用了很多其他的东西,包括哈希编码,区块链在量子计算中并不十分脆弱。[2019/4/4]

一个设计良好的密码学承诺具备如下特性:

隐匿性:在打开关于v的承诺c之前,验证方不知道承诺方选择的敏感数据v。

绑定性:在关于v的承诺c生成之后,承诺方难以将已承诺的敏感数据解释成另一个不同的数据v'。

所以,密码学承诺可以起到与日常生活中的承诺行为类似的效果,一旦做出承诺,就必须在披露阶段使用之前已经承诺的敏感数据。

对应地,在业务系统中,承诺生成阶段通常被用来生成密文形式的业务数据,而承诺披露阶段则多被用于在特定业务流程中进行数据校验。

除了直接公布敏感数据明文之外,承诺披露阶段所需的数据校验,也可以在不公布敏感数据明文的前提下,构造零知识证明来完成。相关内容将在后续零知识证明专题中展开。

具体回到哈希承诺,用户可以通过以下公式计算关于敏感数据v的承诺,其中H是一个密码学安全的单向哈希算法。

声音 | 杨庆峰:现代密码学结合区块链技术可基本消除技术层面的安全问题:据澎湃新闻消息,上海大学哲学系教授杨庆峰发文指出,如果说长三角一体化建设过程中数据共享会成为一个问题,数据共享会影响到未来长三角一体化公共服务的落实,那么这个问题就必须严肃对待。同时,其表示现代密码学的方法已完全可以解决这一问题,再加上区块链技术的未来运用的可能性极大,这基本上消除技术层面出现的安全问题。需要担忧的是伦理方面的问题,诸如隐私保护、被遗忘权等方面的问题。[2019/3/14]

基于单向哈希的单向性,难以通过哈希值H(v)反推出敏感数据v,以此提供了一定的隐匿性;基于单向哈希的抗碰撞性,难以找到不同的敏感数据v'产生相同的哈希值H(v),以此提供了一定的绑定性。

哈希承诺的构造简单、使用方便,满足密码学承诺基本的特性,适用于对隐私数据机密性要求不高的应用场景。

对隐私数据机密性要求高的应用,需要注意哈希承诺提供的隐匿性比较有限,不具备随机性。对于同一个敏感数据v,H(v)值总是固定的,因此可以通过暴力穷举,列举所有可能的v值,来反推出H(v)中实际承诺的v。

相比其他密码学承诺技术,哈希承诺不具有便于业务系统在密文形式对其处理的附加功能,例如,多个相关的承诺值之间密文运算和交叉验证,对于构造复杂密码学协议和安全多方计算方案的作用比较有限。

声音 | 密码学家 Nick Szabo:比特币有能力取代黄金 央行会求助于加密储备:据 oracletimes消息, Nick Szabo是一位著名的密码学家,他相信比特币有能力取代黄金。换句话说,央行也许有一天会求助于加密储备,作为补充国家黄金储备的一种方式。据行业专家称,经济有问题的国家使用加密也会增加。[2019/1/11]

Pedersen承诺

Pedersen承诺是目前隐私保护方案中使用广泛的密码学承诺,相比哈希承诺,构造略微复杂,但提供了一系列优异的特性:

信息论安全的理论最强隐匿性。

基于离散对数困难问题的强绑定性。

具有同态加法特性的密文形式。

其具体构造如下:

有别于哈希承诺,对于同一个v会产生相同的承诺H(v),Pedersen承诺通过引入随机致盲因子r,即便隐私数据v不变,最终的承诺c也会随着r的变化而变化,以此提供了信息论安全的隐匿性。

Pedersen承诺在构造中采用了离散对数运算,因此也赋予其加法同态性。可以通过两个分别关于v1和v2的Pedersen承诺c1和c2“相加”,得到的新承诺便是关于v1+v2的Pedersen承诺。

除了能够构造关于v1+v2的Pedersen承诺之外,Pedersen承诺还可以用来构造v1*v2、v1 || v2等更复杂的Pedersen承诺,通过基于离散对数的通用零知识证明系统,来证明新产生的承诺满足与原始承诺c1和c2之间存在指定的约束关系。

在实际业务中,Pedersen承诺自带的加法同态性,配合零知识证明获得约束关系证明功能,在区块链中可以有广泛的应用,目前主要以隐匿账本的形式,提供灵活的隐私数据的密文上链存证和交易密文数值关联性的第三方验证。

具体方案设计中,相关业务方在链下完成业务交互之后,将对应的数值变化表达成Pedersen承诺,再将对应的承诺数据上链,这个过程中无需披露任何隐私数据明文。

上链之后,非相关的第三方虽然难以通过Pedersen承诺的密文形式反推出隐私数据明文,但可以验证承诺之间的约束关系,核实业务交互的合法性,例如,验证隐匿转账发生之后,依旧满足会计平衡、外汇交易中使用了正确汇率进行跨行对账等。

值得注意的是,Pedersen承诺产生的密文形式,与通过普通加解密算法生成的数据密文有一定相似性,在计算过程中都使用敏感数据v,致盲因子r的作用和密钥的作用也有一些相似,均用以混淆最后的密文输出。

但不同的是,密码学承诺不提供解密算法,如果只有r,无法有效地提取出敏感数据v的明文,只能通过暴力穷举所有可能的v值的方法逐一验证,试图通过匹配的承诺值来破解v的明文。

所以,Pedersen承诺重在“承诺”,适用于数据属主向第三方证明承诺中的敏感数据满足一定的约束关系,由于不直接提供解密功能,不能直接支持需要互不透露敏感数据明文的多方协同计算,这一点与密码学领域的同态加解密算法有很大区别,切勿混淆概念。

为了应对量子计算可能带来的风险,寻求经典密码学承诺技术的替代品,后量子密码学承诺也是重要的研究方向之一。比较典型的方案有量子比特承诺。

量子比特承诺(Quantum Bit Commitment)是基于量子力学原理构造的比特承诺方案,具体实现可以抽象为一个带随机输入的单向哈希算法。

根据单向函数的单向性,承诺方向验证方发送r1和c后,验证方不知道v,满足对v的隐匿性。另外,由单向哈希的抗碰撞性可知承诺方难以找到r2′和v’,使H(r1 , r2 , v) = H (r1 , r2′, v′),因此承诺方难以违约,满足对v的绑定性。

量子比特承诺的构造看似简单,但实际实现需要借助量子协议完成计算,同时也有一定的理论局限性。 

早在1996年,Hoi-Kwong Lo和Hoi Fung Chau团队、Dominic Mayers团队分别独立地证明了不存在满足信息论安全的理论最强绑定性的量子比特承诺方案。这个不存在性被称为MLC no-go定理。其主要原因是,如果验证方完全没有任何承诺的信息,那么承诺方可以通过量子纠缠随意地改变承诺内容,而验证方既不能阻止也不能发现承诺方的违约行为。

总体而言,后量子密码学承诺的研究尚处于早期阶段,充满了各类挑战,目前难以直接应用到实际业务系统中。除了量子比特承诺之外,基于模糊算法的量子模糊承诺也是一类热门研究方向,目标应用领域为生物特征识别相关的隐私安全系统。将来不排除有更实用的方案面世,以此消解量子计算可能带来的冲击,我们将持续保持关注。

正是:业务数据精确至毫厘,密码承诺隐匿遁无形!

密码学承诺的隐匿性和绑定性是隐私保护方案设计中常用的关键特性,在保障隐私数据机密性的同时,也保证了密文形式隐私数据解读的唯一性。对于业务系统设计而言,密码学承诺为隐私数据提供了另一种高效的密文表达方式。

本论中,我们重点介绍了哈希承诺和Pedersen承诺,在往后的文章中,我们还会进一步介绍其他重要的密码学承诺,例如zk-SNARKs零知识证明系统中使用的多项式承诺、向量承诺等。

对于需要在数据的密文形式上直接进行运算和交叉验证的业务,只要不涉及互不透露数据明文的多方协同计算,相比现有同态加密算法,以Pedersen承诺为代表的密码学承诺往往可以提供更好的性能。这一优势与密码学承诺的同态性密不可分,如何构造和应用同态性,敬请关注下文分解。

标签:SENEDE区块链比特币Sentinel ProtocolFeDeral Token什么叫做区块链技术比特币红包无法追回

Bitcoin热门资讯
期货合约占据主导的币市 个人投资者该何去何从?

5月初到现在的行情,可以说是反复无常,先是从8600美金附近一路上涨至10060美金,随后暴力砸盘至8100美金,一周不到的时间,又再次拉回至1万美金区间.

1900/1/1 0:00:00
OTC出了这么多事儿你们为啥还敢玩

OTC一直是数字货币交易的刚需,我们都需要拿钱买币或者拿币换钱。但是OTC里满当当的坑——跑路、、标价猫腻着实让人脑壳疼,女侠今天就给大家分享一下曾经的悲惨经历.

1900/1/1 0:00:00
韩国政府主导开发基于区块链的自动驾驶身份验证平台

2020年5月8日,韩国世宗市宣布建立基于区块链的数字身份可信平台,用于存储和验证自动驾驶车辆的数字身份.

1900/1/1 0:00:00
金色趋势丨BTC即将迎来变盘

金色财经挖矿数据播报:ETH今日全网算力下跌1.72%:金色财经报道,据蜘蛛矿池数据显示: BTC全网算力148.020 EH/s,挖矿难度25.05T,目前区块高度685212,理论收益0.00000547/T/天.

1900/1/1 0:00:00
金色前哨 | 奥地利奥合国际银行正进行国家数字货币试点

奥地利奥合国际银行(RBI:Raiffeisen Bank International AG)正在与企业分布式账本技术(DLT)提供商Billon合作进行国家数字货币的试点工作.

1900/1/1 0:00:00
金色深度丨“减半”后比特币的终极问题:能超越黄金吗?

金色财经 区块链5月9日讯  2020年,一场意料不到的疫情重创全球经济,不过在度过了艰难的一段时间之后,比特币终于重新站至10000美元上方.

1900/1/1 0:00:00